C’est, en substance, la question que l’on peut se poser à la lecture de sa décision au fond n° 08/2019 rendue le 17 septembre dernier.
A l’origine en effet, il s’agissait d’examiner la plainte d’un candidat travailleur qui estimait que l’organisation auprès de laquelle il avait postulé n’avait pas (correctement) donné suite à sa demande d’effacement de données à caractère personnel le concernant. Toutefois, l’organisation en question contestait formellement avoir jamais enregistré ces données dans ses fichiers. Pour la Chambre Contentieuse de l’Autorité de Protection des Données (APD), dès lors qu’il n’existait aucun élément démontrant que ces données aient été effectivement enregistrées, il n’y avait pas lieu de constater une atteinte au droit à l’oubli que revendiquait ce candidat travailleur sur base de l’article 17 du Règlement Général européen sur la Protection des Données (RGPD).
Pour autant, cette même Chambre Contentieuse a jugé que n’était pas satisfaisante la réponse qu’avait alors donnée cette organisation au candidat travailleur qui l’interrogeait. De fait, il s’agissait d’une réponse très courte et pour la moins ambigüe (i.e. « Onderstaand bericht is geen mailing maar een antwoord op uw eigen sollicitatie »). Aux yeux de l’APD, il eut fallu expliquer davantage pourquoi l’organisation incriminée ne pouvait pas donner suite au droit à l’effacement qui était revendiqué. De surcroît, cette réponse intervint en-dehors des délais légaux. La Chambre Contentieuse a dès lors conclu à la violation des articles 12 (3) et 12 (4) du RGPD par l’organisation en question.
Mais ce ne fut pas tout…
La Chambre Contentieuse a également passé en revue d’autres (séries de) griefs formulés d’initiative par l’organe d’enquête de l’APD, le Service d’Inspection, lorsque celui-ci traita la plainte du candidat travailleur.
Ainsi, aux yeux du Service d’Inspection, l’organisation ne justifiait pas d’un fondement légal permettant la collecte des données à caractère personnel des candidats travailleurs qui figuraient déjà dans sa base de données avant l’entrée en vigueur du RGPD. L’organisation a toutefois soutenu disposer d’un consentement indubitable et informé de la part des personnes concernées. Elle a expliqué l’avoir obtenu en leur envoyant, après l’entrée en vigueur du RGPD, un email à l’occasion duquel ces personnes ont dû expressément donner leur consentement pour le maintien de leurs données personnelles dans cette base de données. La Chambre Contentieuse en a conclu que l’organisation disposait bel et bien d’un fondement légal valable et que les article 6 (i.e. licéité du traitement) et 5(2) (i.e. « accountability ») du RGPD n’avaient dès lors pas été violés. Quant à la durée de conservation de 10 ans de ces données après le dernier usage qui en est fait et que le Service d’Inspection jugeait problématique lorsqu’aucun contrat n’était conclu, la Chambre Contentieuse a, là aussi, conclu à l’absence de violation de l’article 5 (1) (e) du RGPD (i.e. limitation de la conservation). L’organisation incriminée a en effet expliqué que cette durée de conservation ne trouvait en réalité à s’appliquer qu’aux seules personnes qui avaient été retenues pour certains projets, et non pas pour les candidats travailleurs qui ne l’avaient pas été. Du reste, cette durée se justifiait par le délai de prescription contractuelle.
Le Service d’Inspection considérait par ailleurs que l’organisation en cause ne respectait pas les articles 12 (1) et 12 (2) du RGPD non seulement parce que sa politique de confidentialité contenait une limitation de responsabilité mais également parce que celle-ci stipulait que le contenu du site Internet pouvait être adapté à tout moment et sans notification préalable. L’organisation a rétorqué que cette politique de confidentialité ne concernait en réalité que l’utilisation de son site Internet et qu’elle n’avait aucun rapport avec les droits que peuvent exercer les personnes concernées en vertu de la législation relative à la protection des données à caractère personnel. A l’examen des documents qui lui ont été fournis, à savoir le fait que les dispositions relatives à l’utilisation du site Internet figurent dorénavant dans un autre document que la politique de confidentialité et l’existence d’une procédure écrite interne à suivre en cas de demande d’effacement de données, la Chambre Contentieuse a conclu qu’il n’y avait pas non plus de violation du RGPD sur ces bases. Quant au reproche formulé par le Service d’Inspection sur l’absence dans cette politique de confidentialité des données de contact du Délégué à la Protection des Données (DPO), la Chambre Contentieuse a considéré, comme l’organisation en cause, que cette désignation du DPO n’était en fait pas obligatoire et que, partant, il n’y avait pas lieu de renseigner ces coordonnées. Cela étant, la Chambre Contentieuse a constaté une violation à l’article 13 (2) (b) du RGPD parce que ne figurait pas dans cette politique de confidentialité l’existence du droit à la limitation du traitement qui est visé à l’article 18 du RGPD.
Dans une troisième série de griefs, le Service d’Inspection reprochait à l’organisation en question de ne pas justifier à suffisance de ses relations avec le sous-traitant impliqué dans le traitement des données personnelles de candidats travailleurs. L’organisation s’était contentée de renvoyer au contrat qu’elle avait conclu avec ce sous-traitant. Or, à l’examen de ce contrat, la Chambre Contentieuse a, quant à elle, considéré que ce dernier présentait les mentions et garanties requises et, partant, qu’il n’y avait pas eu violation des articles 24 (1) et 28 du RGPD.
Enfin, pour le Service d’Inspection, le registre des activités de traitement fourni par l’organisation poursuivie n’était pas conforme aux articles 30 (1) (d) et (g) du RGPD puisque n’y apparaissaient ni les catégories de destinataires de ces données, ni d’aperçu général des mesures techniques et organisationnelles mises en place par l’organisation conformément à l’article 32 alinéa 1er du RGPD. La Chambre Contentieuse a effectivement jugé avérée cette violation du RGPD.
Au moment d’adopter la sanction conséquente aux violations constatées, la Chambre Contentieuse a expliqué avoir tenu compte du fait que l’organisation poursuivie est plutôt de petite taille et qu’elle a visiblement collaboré pour tâcher d’améliorer au mieux les points qui posaient problème, et ce même avant la procédure devant la Chambre Contentieuse. C’est la raison pour laquelle, au final, celle-ci a décidé de ne lui infliger qu’un blâme.
Cette décision au fond de la Chambre Contentieuse de l’APD est disponible en NL sur son site Internet :